margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: Záplaty, záplaty, záplaty

Pavel Houser , 17. leden 2013 08:00 0 komentářů
Bezpečnostní přehled: Záplaty, záplaty, záplaty

Dočkali jsme se kritických bezpečnostních zranitelností i mimořádných oprav, dotčeny jsou např. produkty Microsoftu, Oraclu a Adobe. Opět zazněly výzvy k odinstalování Javy. Objevila se nová a zřejmě velmi účinná sada exploitů. Následuje pravidelný čtvrteční bezpečnostní přehled vytvářený především podle bezpečnostních rubrik webů ZDNet, CNet, The Register a HelpNet Security.

Adobe vydala aktualizace Readeru, plného Acrobatu i přehrávače Flash Player. Všechny záplaty řeší kritické bezpečnostní zranitelnosti, které mohly vyvolat selhání aplikace s rizikem dalšího ovládnutí počítače útočníkem. Adobe neuvedla podrobnosti o těchto chybách. Obecně firma doporučuje přejít u Readeru na verzi 11, která již podporuje sandbox/chráněný režim.

Často doporučovaným, nikoliv ale všespásným řešením je použití alternativního prohlížeče PDF. V prohlížeči FoxIt byla teď totiž také objevena bezpečnostní díra, jejíž závažnost se prý zero day zranitelnostem v Readeru minimálně vyrovná. Na problém upozorňuje Andrea Micalizzi.

Původně se zdálo, že prohlížeč pouze havaruje při otevření dokumentu na příliš dlouhé URL adrese, nicméně útočník může ještě k tomu PDF dokument upravit tak, aby při přetečení zásobníku došlo i ke spuštění jeho kódu. Zneužití má být směšně jednoduché, takže zveřejněn nebyl ani útok ve formě proof-of-concept. Zdá se, že zranitelné jsou všechny verze FoxIt, bez ohledu na operační systém/webový prohlížeč. Secunia hodnotí problém jako vysoce kritický.

Exploit pro zero day zranitelnost v Javě začal být masivně zneužíván. K infekci opět stačilo pouze kliknout na nebezpečný odkaz, načež útočník zcela ovládl počítač. Vzápětí se opět objevila doporučení Javu odinstalovat. Oficiální vyjádření v tomto smyslu tentokrát vydalo i americké ministerstvo vnitřní bezpečnosti (respektive tým CERT). Oracle sice vydal záplatu, ale doporučení dál trvá – prý proto, že v platformě je ještě celá řada dalších zranitelností. Vládní agentury běžně varují před bezpečnostními chybami, většinou však radí, jak problém obejít, doporučují aktualizace, instalace bezpečnostních nástroj.

Doporučení odinstalovat celou technologii je poměrně silné. (Stojí za to např. připomenout, že první malware masově rozšířený na MacOS, Flashbak, nebyl důsledkem chyby v softwaru Apple, ale implementace Javy.)

Jako obvykle se doporučuje používat prohlížeč s povolenou Javou pouze pro stránky, které to přímo vyžadují. Firmy se kvůli podnikové architektuře/aplikacím často bez podpory Javy nemohou plně obejít, pro běžnou práci s webem by však měla být vypnuta.

Ještě před vydáním záplaty Oraclu přišla s vlastním řešením i Mozilla, když doporučené nastavení umožnilo načítání plug-inu pro Javu jen s výslovným vědomím uživatele.

Co se týče samotné opravy Oraclu, nová verze má číslo Java 7 Update 11. Aktualizace by mj. měla nastavit výchozí úroveň zabezpečení tak, aby uživatelé byli vždy dotazováni před spuštěním nepodepsaného appletu nebo javové aplikace.

Microsoft vydal opravu kritické bezpečnostní zranitelnosti Internet Exploreru verzí 6-8. Problém byl již aktivně zneužíván např. gangem Elderwood (dříve vydaný nástroj Fix It byl totiž podle výzkumníků neúčinný).

Tvůrci sady exploitů Blackhole údajně používají zisky k nákupu dalších zranitelností a vytvářejí ještě nebezpečnější nástroj. Podle společnosti Sophos se Blackhole Exploit Kit pronajímá v řádu 1 500 dolarů za rok. Jeho hlavní autor přezdívaný Paunch investoval do nákupu dalších exploitů až 100 000 dolarů (to prý vyplynulo z analýzy rusky psaného podzemního fóra) a s jejich pomocí vytvořil mnohem účinnější nástroj Cool. Tomu má odpovídat i cena, je k dispozici za cca 10 000 dolarů měsíčně.

Cool dokázal již v minulosti zneužívat jako první útočný systém objevených zero day zranitelností ve Windows či Javě. Podle všeho se používá zejména k vydírání uživatelů infikovaných počítačů (ransomware). Gang Reveton podle Symantecu vydělával pomocí Cool/ransomwaru až 30 000 dolarů denně, takže i relativně velmi vysoká cena pronájmu sady se zjevně může podvodníkům vyplácet.

Microsoft Surface, respektive Windows RT, lze podobně jako iPhone „odemknout“ (jailbreaking) a pak na zařízení spouštět neautorizované aplikace. Postup byl sice již znám, ale dosud relativně komplikovaný. Jako první tuto možnost zřejmě publikoval výzkumník C. L. Rokr. Programátor vystupující pod přezdívkou Netham45 nyní vydal tento nástroj (RT Jailbreak Tool v1) v podobě jediného dávkového souboru runExploit.bat. Tablet Microsoftu lze s jeho pomocí odemknout za pár vteřin. Nástroj pracuje pouze na úrovni paměti RAM a po každém restartu tabletu je třeba ho spustit znovu, alespoň chce-li někdo dále používat neautorizované aplikace.

Microsoft měl v plánu umožnit na Windows RT spouštění aplikací pouze z oficiálního obchodu Windows Store (nepočítaje v to svůj Internet Explorer, MS Office apod.), nový nástroj však vypne kontrolu podpisů. Samozřejmě, že použití těchto triků nelze doporučovat (alespoň bez vážného důvodu), protože se tím uživatel zbavuje jedné úrovně bezpečnostní ochrany.

Microsoft incident nepokládá za bezpečnostní chybu, dokonce tvůrce jailbreakingu pochválil za vynalézavost, nicméně v příštích verzích Windows RT může být postup znemožněn. Uživatelé ale stejně nemůžou na RT jednoduše spouštět své starší desktopové aplikace ani s jailbreakingem, protože programy pro x86 je třeba předtím překompilovat pro procesory ARM.

Objevena byla zranitelnost ve výchozí konfiguraci routerů Cisco Linksys. Podle Cisca nejnovější verze firmwaru 4.30.14 problém řeší, bezpečnostní výzkumníci ze společnosti DefenseCode však tvrdí, že zařízení jsou stále zranitelná. V DefenseCode mají údajně k dispozici plně funkční exploit. Odhaduje se, že v rámci internetové infrastruktury dnes může fungovat až 70 milionů routerů Cisco Linksys.

Fungování exploitu ukazuje následující video:

Oracle uvedl bezpečnostní produkt Oracle Audit Vault and Database Firewall. Jedná se o řešení především pro ochranu databází (i od dalších dodavatelů než Oracle), analyzuje ovšem také síťový provoz a data z auditů. Chrání databázi před neoprávněným přístupem včetně snahy zvýšit uživatelská oprávnění. Sledován je veškerý SQL provoz a „gramatika“ těchto dotazů, lze vytvářet whitelisty a blacklisty, jedná se tedy i o řešení proti útokům SQL injection. Produkt díky vazbě na audity/logy může být také součástí řešení pro zajištění shody s předpisy.

Zdroj: tisková zpráva společnosti Oracle

Eset vydal aplikaci Eset Social Media Scanner, která se dodává jako součást produktů Eset Smart Security 6 a Eset NOD32 Antivirus 6. Má za úkol chránit uživatele před hrozbami z Facebooku. Oznámení o nalezených infekcích se uživateli posílá e-mailem. Aplikace se přizpůsobuje jazykovému nastavení uživatele Facebooku, tj. zobrazuje se i v češtině.

Zdroj: tisková zpráva společnosti Eset


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

RSS 

Zprávičky

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů

Starší zprávičky

Nejvyšší soud USA se postavil na stranu Samsungu proti Applu

ČTK , 07. prosinec 2016 12:30

Americký nejvyšší soud se v mnohaletém patentovém sporu mezi výrobci chytrých telefonů Apple a Samsu...

Více 0 komentářů

Evropská komise Microsoftu schválila převzetí sítě LinkedIn

ČTK , 07. prosinec 2016 10:30

Evropská komise schválila americké softwarové společnosti Microsoft záměr koupit za 26 miliard dolar...

Více 0 komentářů

Porozumění větám, konkurence pro Turingův test

Pavel Houser , 06. prosinec 2016 18:00

Konverzační roboti mají stále problémy pochopit věty, kde smysl nelze vyvodit ze samotné gramatické ...

Více 0 komentářů

Americká GoDaddy koupí evropský webhosting Host Europe

ČTK , 06. prosinec 2016 16:00

Americký registrátor internetových domén GoDaddy, který je ve svém oboru největší na světě, se dohod...

Více 0 komentářů